米商務省、AI開発者にサイバーセキュリティー報告義務を課す規則案を発表（米国）

米国商務省産業安全保障局（BIS）は9月9日、人工知能（AI）開発者およびクラウドプロバイダーに対して、米国政府へのサイバーセキュリティー関連情報の報告義務を課す規則制定案公告（NPRM）を発表した。正式には9月11日付の官報で公示の予定で、最終規則（FR）の策定に向けて、公示日から30日間、パブリックコメントを受け付ける（注1）。

BISによると、規則案は、高度なAIモデルやコンピューティング・クラスターの開発者に対して、開発活動、サイバーセキュリティー対策、CBRN（化学・生物・放射能・核）兵器開発に転用されるリスクなどに関する「レッドチーミング（red-teaming）」と呼ばれるサイバー攻撃訓練の結果などについて、米国政府への詳細な報告を義務付ける。

米国では、デュアルユース基盤モデル（注2）が、CBRN兵器開発、サイバー攻撃、有害コンテンツ生成などに悪用される可能性が指摘されている。BISは発表の中で、今回規則案で示された報告義務を通じて収集される情報は、「これらの技術が安全性と信頼性に関する厳格な基準を満たし、サイバー攻撃に耐え、外国の敵対勢力や非国家主体による悪用のリスクが限られたものであることを確かにするために不可欠だ」としている。

米国のジョー・バイデン大統領は2023年10月に、AIの開発や利用における安全性や信頼性の確保を指示する大統領令に署名した（2023年11月1日記事参照、注3）。同大統領令は商務省に対して、デュアルユース基盤モデルのレッドチーミングの実施・報告プロセスの確立などを指示していた。なお、商務省は2024年7月に、デュアルユース基盤モデルのリスク軽減に関する指針案などを発表している（2024年7月30日記事参照）。

（注1）パブコメは連邦政府のポータルサイト（BIS–2024–0047）を通じて提出可能。

（注2）有益または有害な目的の両方に使用可能なAIシステム。

（注3）バイデン政権のAI規制動向は2024年5月1日付地域・分析レポート参照。

（葛西泰介）

（米国）